Das Verhältnis von DSGVO (Datenschutz-Grundverordnung) und DORA (Digital Operational Resilience Act) ist eng miteinander verbunden, da beide EU-Verordnungen auf die Sicherstellung von Datenschutz und IT-Sicherheit abzielen, jedoch unterschiedliche Schwerpunkte setzen. Für Unternehmen, insbesondere im Finanzsektor und für deren IT-Dienstleister, stellen beide Regulierungen zentrale Anforderungen dar, die in einem ganzheitlichen Sicherheits- und Compliance-Ansatz berücksichtigt werden müssen.
Unterschiede in der Zielsetzung:
DSGVO:
- Ziel: Schutz personenbezogener Daten und die Gewährleistung der Privatsphäre.
- Anwendungsbereich: Alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig vom Sektor.
- Schwerpunkte: Datenschutz, Einwilligungen zur Datenverarbeitung, Transparenz, Datenspeicherung, Datensicherheit und Meldepflichten bei Datenschutzverletzungen.
DORA:
- Ziel: Operative Resilienz der IT-Systeme und Cybersicherheit in der Finanzbranche sowie deren IT-Dienstleister.
- Anwendungsbereich: Finanzinstitute und kritische IT-Dienstleister, die für Finanzdienstleister tätig sind
- Schwerpunkte: IT-Sicherheitsanforderungen, Krisenmanagement, Schutz vor Cyberangriffen, Notfallpläne, Risikomanagement und regelmäßige Stresstests.
Überschneidungen und Synergien:
- Sicherheitsanforderungen: Sowohl DSGVO als auch DORA verlangen von Unternehmen robuste IT-Sicherheitsmaßnahmen. Während die DSGVO jedoch auf den Schutz personenbezogener Daten fokussiert, erweitert DORA diesen Ansatz um die allgemeine Resilienz der IT-Systeme. Das bedeutet, dass Maßnahmen, die im Rahmen der DSGVO zum Schutz von Daten implementiert werden, gleichzeitig zur Erfüllung der DORA-Anforderungen beitragen können.
- Meldepflichten: Beide Verordnungen enthalten strenge Meldepflichten. Die DSGVO erfordert die Meldung von Datenschutzverletzungen innerhalb von 72 Stunden an die Aufsichtsbehörden. DORA schreibt vor, dass Sicherheitsvorfälle und IT-Ausfälle gemeldet werden, um sicherzustellen, dass Banken und Finanzinstitute auf Krisen vorbereitet sind. In vielen Fällen können Vorfälle, die unter die DSGVO fallen, auch im Rahmen von DORA als IT-Sicherheitsvorfall relevant sein.
- Risikomanagement und Audits: Beide Regulierungen fordern eine ständige Überwachung und Bewertung von Risiken. Die DSGVO verlangt ein Datenschutzmanagement, das regelmäßig überprüft wird, während DORA ein umfassendes Risikomanagement für die IT-Systeme fordert, inklusive regelmäßiger Stresstests und Audits. Unternehmen, die in beiden Bereichen tätig sind, müssen sicherstellen, dass ihre Überwachungs- und Managementsysteme beide Anforderungen gleichzeitig erfüllen.
Unterschiede in der Haftung und Verantwortlichkeit:
- DSGVO: Hier liegt der Schwerpunkt auf dem Schutz personenbezogener Daten, und die Haftung betrifft vor allem den Umgang mit diesen Daten. Verstöße gegen die DSGVO können erhebliche Geldstrafen zur Folge haben, die bis zu 4 % des globalen Jahresumsatzes eines Unternehmens betragen können.
- DORA: Bei DORA liegt der Fokus auf der operativen Resilienz und IT-Sicherheit. Finanzinstitute und IT-Dienstleister tragen hier gemeinsam die Verantwortung für die Einhaltung der Resilienzanforderungen, wobei IT-Dienstleister direkt in die regulatorische Überwachung einbezogen werden.
Fazit:
DSGVO und DORA ergänzen sich, indem sie zusammen einen umfassenden Schutz sowohl der personenbezogenen Daten als auch der IT-Systeme und der digitalen Widerstandsfähigkeit in der Finanzbranche bieten. Für Unternehmen, insbesondere IT-Dienstleister im Finanzsektor, ist es entscheidend, beide Regulierungen als Teil eines integrierten Compliance-Ansatzes zu betrachten. Während die DSGVO sicherstellt, dass Daten geschützt und verantwortungsvoll verarbeitet werden, gewährleistet DORA, dass die Systeme, die diese Daten verarbeiten, resilient und sicher bleiben.
Sie möchten mehr über dieses Thema erfahren?
Rufen Sie uns gerne hierzu an oder kontaktieren Sie uns über diese Webseite.